vCISO/vDPO
Eladio Cortizas Information Security Consultant

vCISO/vDPO: vantagens de um modelo de serviço para as empresas

Com o aumento dos ataques cibernéticos, as quebras de segurança, a sofisticação dos ataques e o foco na segurança da informação, as organizações necessitam de um CISO e, em muitos casos, também de um DPO.

O que é um CISO?

O Chefe da Segurança da Informação (Chief Information Security Officer, CISO) é a pessoa, ao nível executivo, responsável pela segurança da informação e dos dados de uma organização. A sua principal função é alinhar a segurança da informação com os objetivos do negócio.

Entre as funções que desempenha encontram-se:

  • Atividades de planeamento e gestão da segurança da informação.
  • Colaboração com a definição da estrutura organizacional e de gestão no que diz respeito à segurança da informação.
  • Iniciativas que afetam as práticas de gestão do ciclo de vida da informação.
  • Atividades de gestão de riscos de segurança da informação.
  • Avaliação de terceiros com acesso aos dados da organização.
  • Coordenação de auditorias por reguladores externos ou clientes.

O que é um vCISO?

O vCISO é um profissional que ajuda as organizações a desenvolver e gerir a implementação do seu programa de segurança da informação. A um alto nível, os vCISOs ajudam a desenhar a estratégia de segurança da organização, e também ajudam na gestão da sua implementação. O pessoal de segurança interna pode continuar a existir, quer reportando ao vCISO ou trabalhando com ele na execução do programa de segurança. Além disso, habitualmente espera-se que o vCISO seja responsável pela apresentação do estado de segurança da informação da organização junto do conselho de administração, equipa executiva, auditores ou reguladores da organização.

O que é um EPD/DPO?

Um Encarregado da Proteção de Dados (Data Protection Officer, DPO) é responsável por assegurar o cumprimento do Regulamento Geral sobre Proteção de Dados (RGPD) e de outras normas sobre proteção de dados.

As funções de um DPO são:

  • Informar e assessorar na organização, todos os responsáveis e os colaboradores que tenham de tratar dados pessoais, à cerca das suas obrigações ao abrigo dos regulamentos de proteção de dados.
  • Supervisionar o cumprimento das disposições dos regulamentos de proteção de dados, incluindo a atribuição de responsabilidades e a sensibilização e formação do pessoal nesta matéria.
  • Assessorar e supervisionar as medidas relacionadas com o tratamento de dados pessoais, como a avaliação do impacto da proteção de dados.
  • Cooperar e agir como um ponto de contacto com a autoridade de controlo.

O que é um vDPO?

O vDPO é um profissional que assiste as organizações no cumprimento do Regulamento Geral de Proteção de Dados (RGPD) e outras normas de proteção de dados, quando a organização não tem capacidade interna para dispor desta figura. Um vDPO, uma vez que é uma pessoa alheia à estrutura da organização, garante a independência para supervisionar e monitorizar de forma independente a aplicação interna e o respeito das regras sobre proteção de dados.

Casos de uso para vCISO e vDPO

  • Podem ser a ponte e contratação de um novo CISO/DPO. Em momentos específicos, a organização não dispõe de um CISO/DPO e precisa de assegurar as tarefas desempenhadas por estas figuras durante um período de tempo indeterminado. Durante este tempo, encarregar-se de rever a estratégia de segurança da informação e o cumprimento das normas em vigor, e ajudar a recrutar, selecionar e fazer a transição.
  • Assistência a uma organização pequena. Algumas PME não se podem dar ao luxo de ter estas figuras a tempo inteiro e nos seus quadros.
  • Criação de um programa de conformidade. As organizações muitas vezes não têm a experiência necessária para desenvolver um programa de conformidade específico e que se traduza na criação de políticas e processos para assegurar a informação protegida. Atualmente existem muitas normas específicas e é muito difícil uma especialização completa em todas elas (ISO27001, ISO 27701, ISO22301, NIST, SOX, RGPD, LOPDGDD, ENS, TISAX, HIPAA, PCI DSS, DORA, EIOPA, LPIC, IEC 62443, RD 43/2021…).

Que organizações necessitam de um vCISO/vDPO?

  • Todas aquelas que não incorporam estas figuras nos seus quadros de pessoal e são obrigadas a fazê-lo por legislação ou regulamentos sectoriais.
  • Organizações com informação confidencial.
  • Organizações com orçamentos limitados.
  • Organizações que têm necessidades específicas de segurança da informação em algumas tarefas específicas e não em toda a organização, não justificando uma contratação de pessoal.
  • Organizações que requerem conjuntos de competências específicas que são difíceis de encontrar no atual mercado de trabalho.

Vantagens para as organizações deste modelo de serviço vCISO/vDPO

A questão de contratar um CISO/DPO ou um vCISO/vDPO resume-se realmente à estratégia da organização.

É aconselhável começar com um vCISO/vDPO para iniciar o trabalho de base e ver se existe apoio interno na organização para implementar um programa abrangente de segurança da informação e privacidade

Se não tiver a certeza qual é a melhor opção, é aconselhável começar com um vCISO/vDPO para iniciar o trabalho de base e ver se existe apoio interno na organização para implementar um programa abrangente de segurança da informação e privacidade. Em função das necessidades identificadas e, se necessário, contratar um CISO/DPO a tempo inteiro para completar o trabalho.

O modelo vCISO/vDPO oferece as seguintes vantagens:

  • Permite às organizações evitar a despesa de empregar um CISO interno a tempo inteiro, pagando apenas pelos serviços e pelo tempo utilizado. O custo é estimado entre 30-40% de um CISO/DPO a tempo inteiro.
  • Eles têm mais experiência. Trabalham ou já trabalharam para muitos clientes num conjunto muito diversificado de indústrias e dimensões. Isto dá-lhes uma vasta gama de experiência que pode ser aplicada à organização.
  • Podem estar em qualquer lugar. Em vez de ter de contratar alguém localmente (o que limita as opções), este modelo de consultoria pode funcionar a partir de quase qualquer lugar.
  • Permite que as organizações preencham rapidamente o cargo, sem terem de passar pelo processo de contratação.
  • É uma opção baseada no consumo. Realizará tarefas com base no trabalho acordado. Portanto, paga-se pelos serviços que se pretendem e permite um maior controlo sobre a utilização dos recursos.